Une faille critique menaçait l'ensemble des comptes Facebook

Le par Mathieu M.  |  8 commentaire(s)
Facebook

C'est une faille d'envergure qui a été mise au jour par un chercheur en sécurité et qui mettait en danger l'intégralité ou presque des comptes d'utilisateur de Facebook.

Gurkirat Singh a récemment mis en évidence une faille dans le système de récupération de compte qui permettait à n'importe qui de récupérer le compte Facebook de n'importe quel utilisateur.

La faille était aussi béante que simple à mettre en oeuvre : lorsque l'utilisateur clique sur "Mot de passe oublié" et renseigne son identifiant pour générer un nouveau mot de passe, Facebook génère un email avec un code d'activation à 6 chiffres permettant en théorie de valider l'appartenance du compte.

Sauf que la série de 6 chiffres ne représente qu'un simple petit million de combinaisons possibles. Et ce code reste valable tant qu'il n’a pas été utilisé. Une théorie vient alors rapidement : si plus d'un million d'utilisateurs envoie une requête de récupération de mot de passe en même temps, alors certains reçoivent obligatoirement le même code.

Hack Facebook

Pour appuyer ses hypothèses, le hacker s'est constitué une base de deux millions d'identifiants Facebook. Ensuite, un script s'est chargé d'envoyer une demande de récupération pour chaque identifiant, le tout opérant depuis plusieurs milliers d'adresses IP différentes. Ensuite, il suffisait de choisir un code à 6 chiffres au hasard, et de tenter une récupération de base... Et le tour est joué, le hacker a ainsi pu créer un nouveau mot de passe pour un des comptes ciblés.

Alors, certes, on ne peut pas vraiment cibler un compte en particulier, à moins de reproduire la procédure autant de fois qu'il le faut jusqu'à tomber par hasard sur le bon code d'activation, néanmoins, la faille reste relativement simple à exploiter.

Pour avoir partagé sa découverte, Gurkirat Singh n'a reçu qu'une prime de 500 dollars de la part de Facebook. Le réseau social a corrigé le tir en renforçant simplement les filtres au niveau des adresses IP, mais pas du tout le fonctionnement de son système à code 6 chiffres, ce qui fait que la faille reste potentiellement exploitable.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
CodeKiller offline Hors ligne VIP avatar 8235 points
Le #1919456
"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.
Outpox offline Hors ligne Vétéran icone 2201 points
Le #1919458
CodeKiller a écrit :

"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.


Ça s'achète ce genre d'information
Mathieu M online Connecté Equipe GNT icone 2451 points
Le #1919479
CodeKiller a écrit :

"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.


Ou pas, il suffit de récupérer les identifiants uniques de Facebook.


Le hacker en question a généré des identifiants aléatoires et comparé avec la réalité sur les URL Facebook avec une API.

Y'a qu'à tester en soumettant la page de son propre profil Facebook ici : http://findmyfbid.com/
On obtient son ID numérique Facebook du moment que le profil n'est pas configuré sur privé.... Suffit alors de faire une liste de chiffres aléatoires et d'utiliser une API pour les tester, puis de renseigner chaque numéro valide après l'adresse de Facebook pour retomber automatiquement sur l'identifiant, en lettres, de l'utilisateur.
skynet offline Hors ligne VIP icone 80949 points
Le #1919482
$500 pour une grosse faille découverte, c'est pas cher payé

Ca n'a pas dû être pris vraiment au sérieux, vu les mesures annoncées ensuite.
Safirion offline Hors ligne VIP icone 40356 points
Le #1919485
CodeKiller a écrit :

"la faille reste relativement simple à exploiter."

Oui faut juste avoir l'adresse email du gars à pirater...

Je vois pas comment le hacker a pu se constituer une base de données avec 2 millions d'adresse email...

Donc en gros c'est impossible à reproduire à moins de connaitre l'email que la victime à utilisé pour facebook.


Ouais enfin, ça reste du "brute force" donc bon...
Outpox offline Hors ligne Vétéran icone 2201 points
Le #1919543
skynet a écrit :

$500 pour une grosse faille découverte, c'est pas cher payé

Ca n'a pas dû être pris vraiment au sérieux, vu les mesures annoncées ensuite.


Je t'avoue que je suis même supris qu'il ait eu quelque chose. Facebook fait du bug bounty mais dans leurs conditions d'éligibilité tu ne dois pas utiliser un exemple réel pour appuyer tes faits il me semble (du genre "regarde Marc, là je pirate ton compte").
Safirion offline Hors ligne VIP icone 40356 points
Le #1919588
Outpox a écrit :

skynet a écrit :

$500 pour une grosse faille découverte, c'est pas cher payé

Ca n'a pas dû être pris vraiment au sérieux, vu les mesures annoncées ensuite.


Je t'avoue que je suis même supris qu'il ait eu quelque chose. Facebook fait du bug bounty mais dans leurs conditions d'éligibilité tu ne dois pas utiliser un exemple réel pour appuyer tes faits il me semble (du genre "regarde Marc, là je pirate ton compte").


Clair, le dernier qui avait fait ça avait pris assez cher
Anonyme
Le #1919714
Et le jour ou ça va marcher le jour ou la faille va vraiment prendre de l'ampleur, ce jour là, on ramassera les morts au sol ....

icone Suivre les commentaires
Poster un commentaire